Die WSUS-Rolle lässt sich unter Windows Server 2012 R2 nicht erfolgreich installieren

Bei dem Versuch auf einem Windows Server 2012 R2 die WSUS-Rolle zu installieren, kann es passieren, das die Installation mit der Meldung „Fehler – Der Server muss neu gestartet werden“ scheitert.

Selbst mehrmalige Neustarts ändern nichts an diesem Umstand. Ein Blick in die Ereignisprotokolle fördert folgende Meldung zu Tage:

Protokollname: System
Quelle:        Service Control Manager
Datum:         22.06.2015 13:08:57
Ereignis-ID:   7041
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      srv01.lab.local
Beschreibung:
Der Dienst "MSSQL$MICROSOFT##WID" konnte aufgrund des folgenden Fehlers nicht unter NT SERVICE\MSSQL$MICROSOFT##WID mit dem aktuell konfigurierten Kennwort angemeldet werden: 
Anmeldungsfehler: Dem Benutzer wurde der angeforderte Anmeldungstyp auf diesem Computer nicht zugeteilt.

Dienst: MSSQL$MICROSOFT##WID 
Domäne und Konto: NT SERVICE\MSSQL$MICROSOFT##WID
 
Das Dienstkonto verfügt nicht über das erforderliche Benutzerrecht "Anmeldung als Dienst".
 
Benutzeraktion
 
Teilen Sie dem Dienstkonto "Anmeldung als Dienst" auf diesem Computer zu. Sie können dazu die lokalen Sicherheitseinstellungen (Secpol.msc) verwenden. Stellen Sie sicher, dass dieses Benutzerrecht dem Clusterdienst, auf allen Knoten des Clusters zugewiesen ist, wenn dieser Computer ein Knoten im Cluster ist.
 
Wenn Sie bereits dieses Benutzerrecht dem Dienstkonto zugeteilt haben und es so aussieht, als ob das Benutzerrecht entfernt wurde, dann wenden Sie sich an den Domänenadministrator, um herauszufinden, ob dieses eventuell durch ein Gruppenrichtlinienobjekt, das dem Knoten zugewiesen ist, entfernt wurde.

Kurzum: Es fehlt dem Benutzerkonto ein Recht. Eine kurze Recherche liefert dazu einige Ergebnisse:

WSUS Role failed on Windows server 2012 with error “the operation cannot be completed because the server that you specified requires a restart”

Andere, unter anderem deutschsprachige, Ergebnisse beschreiben das gleiche Vorgehen. Wenn der Server allerdings in deutscher Sprache ist, findet sich kein „NT SERVICE\ALL SERVICES“. Ein Blick ins MCSEboard führt zur passenden Übersetzung:

SBS2003 – neuer DC mit Win2012 – Probleme mit WSUS-Installation

Dem Konto „DIENST“ muss das Recht „Anmelden als Dienst“ gewährt werden. An dieser Stelle darf gerne geschmunzelt werden, was das denn soll, das sich Dienst nicht als Dienst anmelden darf.

Soll die WSUS-Rolle auf einen Domänencontroller installiert werden, muss statt der „Default Domain Policy“ die „Default Domain Controllers Policy“ editiert werden. Sobald die Änderung angewandt wurde, lässt sich die Rolle erfolgreich installieren.

Update 05.10.2016

Nachfolgend eine kleine Anleitung, wie man das Recht zuweist:

  • Die „Gruppenrichtlinienverwaltung“ öffnen.
  • Zu „Domain Controllers“ wechseln.
  • Die „Default Domain Controllers Policy“ bearbeiten.
  • Zu „Computerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Lokale Richtlinien – Zuweisen von Benutzerrechten“ wechseln.
  • „Anmelden als Dienst“ doppelt anklicken.
  • Auf „Benutzer oder Gruppen hinzufügen…“ klicken.
  • „DIENST“ eingeben und auf „OK“ klicken.
  • Auf „OK“ klicken.
  • Die Richtlinie schließen.
  • In einer Eingabeaufforderung mit „gpupdate /target:computer /force“ die Änderung anwenden.

6 Kommentare

  • Hallo, ich komme hier einfach nicht weiter, „Dem Konto „DIENST“ muss das Recht „Anmelden als Dienst“ gewährt werden. An dieser Stelle darf gerne geschmunzelt werden, was das denn soll, das sich Dienst nicht als Dients anmelden darf.

    Soll die WSUS-Rolle auf einen Domänencontroller installiert werden, muss statt der „Default Domain Policy“ die „Default Domain Controllers Policy“ editiert werden. Sobald die Änderung angewandt wurde, lässt sich die Rolle erfolgreich installieren.“

    Es handelt sich um einen Domänencontroller mit genau oben beschriebenen Fehler. Meine Frage ist nun wo genau editiere ich jetzt den Dienst, was muss ich aufrufen die GPO? Vielleicht gibt’s die Möglichkeit einen Screenshot zu posten oder zu senden.
    Vielen Dank

  • Im MCSEBoard ist eigentlich alles beschrieben, hier nochmal die Kurzfassung:

    – Die „Gruppenrichtlinienverwaltung“ öffnen.
    – Zu „Domain Controllers“ wechseln.
    – Die „Default Domain Controllers Policy“ bearbeiten.
    – Zu „Computerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Lokale Richtlinien – Zuweisen von Benutzerrechten“ wechseln.
    – „Anmelden als Dienst“ doppelt anklicken.
    – Auf „Benutzer oder Gruppen hinzufügen…“ klicken.
    – „DIENST“ eingeben und auf „OK“ klicken.
    – Auf „OK“ klicken.
    – Die Richtlinie schließen.
    – In einer Eingabeaufforderung mit „gpupdate /target:computer /force“ die Änderung anwenden.

  • Bei mir hat dieser Artikel erfolgreich geholfen. Hatte einen alten SBS 2003 durch einen Windows Server 2016 STD GER ersetzt

  • Top, Hat mir sehr geholfen.
    Vielen Dank

  • Migration SBS2011 auf Win2016 WSUS4
    Danke hat funktioniert

  • Das gleiche Problem kann übrigens auch bei der Installation der Rolle „Remotezugriff“ auftreten. Auch da kommt die gleiche Fehlermeldung im Log und nach zufügen des Dienstes „DIENST“ zu den Diensten, die sich als Dienst anmelden dürfen (das ist ein Satz :-)), geht es dann. Ach ja, sowohl Server 2012R2 als auch Server 2016 und Server 2019.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.